研究人员和ISP未能有效控制Pushdo僵尸网络

日期: 2010-09-02 作者:Robert Westervelt翻译:Sean 来源:TechTarget中国 英文

因加剧恶意软件、垃圾邮件和网络钓鱼行为而变得臭名昭著的僵尸网络——Pushdo/Cutwail现在仍然是一个威胁,即使安全研究团队和互联网服务供应商(ISP)企图通过去除其命令控制型(command-and-control)基础设施来削弱僵尸网络。   上周,来自恶意软件分析公司LastLine的研究人员发现Pushdo僵尸网络背后有30个命令控制型服务器和8个托管供应商。在联系过负责那些托管服务器的互联网服务供应商后,该公司成功地去除了20个服务器。从8月23日至8月25日,来自Pushdo的垃圾邮件数量明显下降,这只占全球垃圾邮件数量的一小部分。

  LastLine公司的高级威胁分析师T……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

因加剧恶意软件、垃圾邮件和网络钓鱼行为而变得臭名昭著的僵尸网络——Pushdo/Cutwail现在仍然是一个威胁,即使安全研究团队和互联网服务供应商(ISP)企图通过去除其命令控制型(command-and-control)基础设施来削弱僵尸网络。

  上周,来自恶意软件分析公司LastLine的研究人员发现Pushdo僵尸网络背后有30个命令控制型服务器和8个托管供应商。在联系过负责那些托管服务器的互联网服务供应商后,该公司成功地去除了20个服务器。从8月23日至8月25日,来自Pushdo的垃圾邮件数量明显下降,这只占全球垃圾邮件数量的一小部分。

  LastLine公司的高级威胁分析师Thorsten Holz在博客中写道:“不幸的是,并非所有的供应商都有回应,因此一些命令控制型服务器现在仍然在线。”

  Holz在一封电子邮件中表示,研究团队的目的并不是击垮僵尸网络,而是利用从命令控制型服务器收集的数据来测试新的工具,这种新工具可以用来分析各种僵尸网络的恶意软件数据。

  根据FireEye公司进行的关于Pushdo僵尸网络的分析,虽然LastLine公司采取的行动削减了僵尸网络的力量,但是其背后的网络罪犯正在逐步壮大。供应商的安全研究人员在中国、俄罗斯、德国和美国发现了主动备份的命令控制型服务器。几天后,活跃的服务器开始启用它们,从而使其重新起作用。这样,僵尸网络Pushdo就复活了。

  安全研究工程师Atif Mushtaq在FireEye的研究博客中写道:“不幸的是,关闭Pushdo的尝试只是暂停了两天的垃圾邮件。这次,备份[命令控制型服务器] CnC真的救了他。”

  像LastLine、FireEye这样的公司企图削减Pushdo的同时,也迫使网络犯罪分子继续前进。大约过了一个月,安全厂商的honeypots检测到Pushdo的新变种。据Mushtaq称,网络罪犯不急于转移到新的命令控制型服务器。他们等待着研究人员将注意力转移到其他僵尸网络,然后在几个星期之后慢慢复苏。

  LastLine公司的行动表明在很多国家内控制命令控制型服务器上的僵尸网络有多么困难。安全研究人员表示,技术完全允许我们去除僵尸网络,但他们针对僵尸网络的行动被隐私法(用来保护计算机用户)所限制。

  发现僵尸网络控制器并有一个合作主机的研究人员,通常可以看到那些黑客的文件。但现在许多命令控制型服务器不再存取数据。SecureWorks公司恶意软件研究主管Joe Stewart说,在一些不友好的国家中,它们被用作服务器的反向代理。

  Stewart说:“即使你记下这些中间服务器(可能位于美国),所有的真实数据有时被托管到另外一个终端。只需要他们在某处找到一些便宜的主机然后重新定义网络流,僵尸网络备份就能得以加速。对僵尸网络经营者来说,获得这种分布式体系结构是很容易的。”

  Stewart说,安全研究人员对学习命令控制型服务器很感兴趣,希望借此来理解内置在它们之中的功能。研究人员想看看后端代码并检查脚本来找出所有机器人的功能。

  Stewart说:“通常如果尝试访问僵尸网络控制器,我就可以得到磁盘映像。它能找出恶意软件出处、可能的作者及出售的地点。我们也试图找出能更好地跟踪恶意软件工具包和作者活动的方法。”

  关注僵尸网络探测的安全公司Damballa的研究副总裁Gunter Ollmann表示,真正消除一个僵尸网络的方法是同时消灭其所有的命令控制型服务器。流氓网络供应商的存在和一些国家有关网络犯罪法律的匮乏使这项工作更难进行。

  Ollmann说:“如果你遗漏了一个命令控制型服务器,僵尸网络仍然会持续下去,甚至还会随着命令控制型服务器新列表进行更新,然后你又功亏一篑了。”

  尽管如此,但Ollmann也表示,现在,研究人员可以更好地识别和监测流氓服务器。主要的互联网服务供应商也在监测网络流量方面做得越来越好,从而更好的检测那些试图连接命令控制型服务器的计算机。这样,互联网服务供应商可以建立一个高强度的保护,切断向被感染的主机的互联网流量。

  Ollmann说:“一些供应商正在改变他们的服务条款和补充条款,这些补充条款允许他们为他们的客户提供这种水平的服务。同时他们也从他们的客户那儿得到反馈,那就是当用户受到影响时,用户想要收到警告。”

翻译

Sean
Sean

相关推荐

  • 警醒:荷兰KPN公司八年未更新系统之后遗症

    今年二月,荷兰一家名叫KPN的大型ISP宣告他们的网络被入侵了。KPN正在进行的调查中,根据承认发动攻击的黑客所提供的信息,入侵成功的原因是软件未能及时更新。

  • 应对DDOS攻击需要“多管齐下”

    DDoS攻击正在不断演化,变得日益强大、隐密,更具针对性且更复杂,它已成为公司的重大威胁。真正有效地对付这种攻击是一个系统工程,你需要多方面考虑。

  • ISP需要行动起来 隔离被恶意软件感染的客户

    在完美世界中,如果用户系统被僵尸网络感染,所得到的将不仅仅是来自ISP的提示信息,他们会被马上“隔离”,直到被确认满足了保证不再会被感染的必要“安全要求”为止。

  • 如何阻止已经开始的DDoS攻击

    分布式拒绝服务(DDoS)攻击开始之后如何阻止?解除威胁的最好方法是什么,如果可能的话,找到攻击发起者的最好办法是什么?有哪些好的方法可以确保这种事情不会再发生?